日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ストレージ暗号化用の外部キー管理サーバの IP アドレスを取得します

アップグレード後は、すぐにストレージ暗号化を設定し、クラスタ全体の認証キーを確立して、以前のノードレベルの認証キーを置き換える必要があります。

手順
  1. キー管理サーバとの通信に必要なクライアントおよびサーバの Secure Sockets Layer ( SSL )証明書をインストールします。

    「セキュリティ証明書のインストール」

  2. 各ノードで次のコマンドを使用して、すべてのノードでストレージ暗号化を設定します。

    「セキュリティキーマネージャの設定」

  3. 各キー管理サーバの IP アドレスを追加します。

    「セキュリティキーマネージャの追加」

  4. クラスタ内のすべてのノードで同じキー管理サーバが設定され使用可能になっていることを確認します。

    「 securitykey-manager show -status 」

  5. クラスタ全体の新しい認証キーを作成します。

    「 securitykey-manager create-key 」を選択します

  6. 新しい認証キー ID をメモします。

  7. すべての自己暗号化ドライブのキーを新しい認証キーに変更します。

    「 storage encryption disk modify -disk * -data-key-id <authentication_key_id>` 」

KMIP サーバを使用して認証を管理します

ONTAP 9.5 から 9.7 では、 Key Management Interoperability Protocol ( KMIP )サーバを使用して認証キーを管理できます。

手順

  1. 新しいコントローラを追加します。

    「 securitykey-manager setup -node <new_controller_name>` 」のように指定します

  2. キー管理ツールを追加します。

    「 securitykey-manager-add <key_manager_server_ip_address >` 」

  3. キー管理サーバが設定され、クラスタ内のすべてのノードで使用できることを確認します。

    「 securitykey-manager show -status 」

  4. リンクされたすべてのキー管理サーバの認証キーを新しいノードにリストアします。

    「 securitykey-manager restore -node <new_controller_name>` 」のように指定します

  5. すべての自己暗号化ディスクのキーを新しい認証キーに変更します。

    'storage encryption disk modify -disk * [-data-key-id nonMSID AK

  6. 連邦情報処理標準( FIPS )を使用する場合は、すべての自己暗号化ディスクのキーを新しい認証キーに変更してください。

    storage encryption disk modify -disk * [-fips-key-id nonMSID AK

オンボードキーマネージャを使用してストレージ暗号化を管理します

OKM は暗号キーを管理できます。OKM を使用する場合は、アップグレードを開始する前にパスフレーズとバックアップ資料を記録しておく必要があります。

手順
  1. パスフレーズを安全な場所に保存します。

  2. リカバリ用のバックアップを作成します。次のコマンドを実行して出力を保存します。

    「 key-manager onboard show-backup 」を選択します

オンボードキーマネージャを使用してストレージ暗号化を管理します

OKM は暗号キーを管理できます。OKM を使用する場合は、アップグレードを開始する前にパスフレーズとバックアップ資料を記録しておく必要があります。

手順
  1. パスフレーズを安全な場所に保存します。

  2. リカバリ用のバックアップを作成します。次のコマンドを実行して出力を保存します。

    「 securitykey manager onboard show-backup 」を参照してください

SnapMirror 関係を休止します(オプション)。

手順を続行する前に、すべての SnapMirror 関係が休止状態になっていることを確認する必要があります。休止された SnapMirror 関係は、リブート後およびフェイルオーバー後も休止状態のままです。

手順
  1. デスティネーションクラスタの SnapMirror 関係のステータスを確認します。

    「 Snapmirror show 」のように表示されます

    注記

    このステータスが「 Transferring 」の場合は、転送を中止する必要があります。 snapmirror abort -destination-path vserver <vserver_name>`

    SnapMirror 関係の状態が「 Transferring 」でない場合は、中止は失敗します。

  2. クラスタ間のすべての関係を休止します。

    snapmirror quiesce -destination-path vserver <vserver_name>`